Microsoft dichtet OneDrive-Links ab
In der Dokument-Freigabe von Microsofts Cloud-Speicher klaffte ein Loch, das es Angreifern erlaubt hätte, unbefugten Zugriff auf Dokumente zu erhalten. Microsoft hat die Lücke nun geschlossen, ältere Freigabe-URLs könnten aber noch verwundbar sein.
- Fabian A. Scherschel
Microsoft hat eine Sicherheitslücke in seinem Cloud-Speicher OneDrive geschlossen. Wie die Firma im OneDrive-Blog mitteilte, handelt es sich bei der Lücke um ein Problem mit Links zu Drittwebseiten in Dokumenten bei OneDrive oder dem Office.com-Dienst. Klickt ein Nutzer auf einen solchen Link, war es dem Serverbetreiber der Drittseite bis vor Kurzem möglich, Header-Informationen des HTTP-Requests zu nutzen, um Zugriff auf das betroffene Dokument zu erhalten. Dieses Leck wurde nun gestopft.
Laut Microsoft behebt der Fix das Problem für alle ab jetzt neu angelegten Dokumente. Links in schon bestehenden Dokumenten sollten den entsprechenden entlarvenden Header ab sofort nicht mehr übermitteln – Nutzer können also ohne Sorge auf die Links klicken. Die Firma sagte, man habe sich dagegen entschieden, alte URLs von Dokumenten zu deaktivieren, da die Lücke nur einen kleinen Anteil von auf dem Dienst abgelegten Dokumenten betreffe. Außerdem habe man keine Kenntnis davon, dass auf diesem Weg unberechtigte Zugriffe auf OneDrive-Dokumente stattgefunden haben.
Ă„hnlichkeiten zur kĂĽrzlich entdeckten Dropbox-LĂĽcke
Bei der Lücke handelt es sich aller Wahrscheinlichkeit nach um eine ähnliche Referer-Lücke, wie sie Dropbox Anfang Mai geschlossen hatte. Da man sowohl Dropbox- als auch OneDrive-Dokumente so bereitstellen kann, dass Nutzer nur die entsprechende URL kennen müssen, um Zugriff zu haben, kann ein Drittseiten-Betreiber durch Kenntnis der Referer Zugriff auf die Dokumente erlangen. Dropbox hatte im Mai, anders als Microsoft jetzt, vorsichtshalber die URLs von allen älteren Dokumenten ungültig gemacht.
Nutzer, die auch bei OneDrive auf Nummer sicher gehen wollen, können die Datei-Freigabe betroffener älterer Dokumente manuell deaktivieren. Gibt man dann das Dokument erneut über eine URL frei, wird diese neu vergeben. Hat ein Angreifer in der Vergangenheit Referer mitgeschrieben, hat er so keinen Zugriff auf das Dokument unter der neuen URL mehr. (fab)